ESPecter
Карта показателей угрозы
Карта оценки угроз EnigmaSoft
EnigmaSoft Threat Scorecards — это отчеты об оценке различных вредоносных программ, которые были собраны и проанализированы нашей исследовательской группой. EnigmaSoft Threat Scorecards оценивает и ранжирует угрозы, используя несколько показателей, включая реальные и потенциальные факторы риска, тенденции, частоту, распространенность и постоянство. EnigmaSoft Threat Scorecards регулярно обновляются на основе данных и показателей наших исследований и полезны для широкого круга пользователей компьютеров, от конечных пользователей, ищущих решения для удаления вредоносных программ из своих систем, до экспертов по безопасности, анализирующих угрозы.
EnigmaSoft Threat Scorecards отображает разнообразную полезную информацию, в том числе:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Уровень серьезности: определенный уровень серьезности объекта, представленный в числовом виде на основе нашего процесса моделирования рисков и исследований, как описано в наших критериях оценки угроз .
Зараженные компьютеры: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженной на зараженных компьютерах, по данным SpyHunter.
См. также Критерии оценки угроз .
| Уровень угрозы: | 100 % (Высокая) |
| Зараженные компьютеры: | 1 |
| Первый раз: | October 8, 2021 |
| Последний визит: | October 8, 2021 |
| ОС(а) Затронутые: | Windows |
Угроза вредоносного ПО, которая потенциально могла избегать обнаружения в течение почти десятилетия, наконец, была обнаружена исследователями информационной безопасности. Обнаруженная специалистами по кибербезопасности угроза под названием ESPecter представляет собой буткит, предназначенный для загрузки неподписанных драйверов на диск ESP (системный раздел EFI) зараженной системы.
Исследователи проследили происхождение угрозы как минимум до 2012 года. В течение этого значительного периода наиболее радикальным изменением, которое претерпела вредоносная программа, стал переход от устаревшего BIOS и основной загрузочной записи к их преемнику UEFI. Унифицированный расширяемый интерфейс микропрограмм или UEFI является важным компонентом, который связывает микропрограммное обеспечение машины с операционной системой.
До сих пор ESPecter не был отнесен к какому-либо конкретному злоумышленнику из-за отсутствия достаточных доказательств. Определенные признаки, обнаруженные в компонентах угрозы, такие как ее сообщения отладки, позволяют предположить, что ее создатели являются лицами, говорящими по-китайски. Метод распространения, использованный при доставке ESPecter, в настоящее время также неизвестен. Злоумышленник может использовать уязвимость UEFI нулевого дня, известную, но еще не исправленную ошибку, или может иметь физический доступ к целевым машинам.
Технические подробности
ESPecter помещается в ESP и устанавливает его постоянство с помощью патча, применяемого к диспетчеру загрузки Windows. Кроме того, патч предоставляет ESPecter возможность полностью обходить протоколы принудительного применения подписи драйверов (DSE) Windows и загружать собственные неподписанные драйверы на скомпрометированную машину. Угроза также может внедрить дополнительные небезопасные компоненты для установления соединения с сервером Command-and-Control (C2, C&C) злоумышленника.
Исследователи обнаружили модули кейлоггинга и кражи файлов в системах, зараженных ESPecter, что указывает на то, что основной целью злоумышленника может быть кибершпионаж и наблюдение за выбранными целями. Действительно, ESPecter также оснащен функцией создания произвольных снимков экрана и сохранения их в скрытом каталоге вместе с собранными ключевыми журналами и документами.
Однако для выполнения угрожающих действий ESPecter необходимо отключить функцию безопасной загрузки в системе. Безопасная загрузка была впервые представлена как функция Windows с выпуском Windows 8, поэтому все более ранние версии ОС автоматически становятся уязвимыми для атаки ESPecter. Однако использовать более новую версию Windows недостаточно. За последние пару лет появилось множество уязвимостей прошивки UEFI, которые позволяют злоумышленникам отключить или полностью обойти безопасную загрузку.
